本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon API Gateway Management V2 的動作、資源和條件索引鍵
Amazon API Gateway Management V2 (服務字首:apigateway) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
主題
Amazon API Gateway Management V2 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| CreateRoutingRule | 准許建立路由規則 | 寫入 | |||
| DELETE | 准許刪除特定資源 | 寫入 | |||
| DeleteRoutingRule | 准許刪除路由規則 | 寫入 | |||
| GET | 准許讀取特定資源 | 讀取 | |||
| GetRoutingRule | 准許讀取路由規則 | 讀取 | |||
| ListRoutingRule | 准許在網域名稱下列出路由規則 | 清單 | |||
| PATCH | 准許更新特定資源 | 寫入 | |||
| POST | 准許建立特定資源 | 寫入 | |||
| PUT | 准許更新特定資源 | 寫入 | |||
| UpdateRoutingRule | 准許使用 PutRoutingRule API 更新路由規則 | 寫入 | |||
Amazon API Gateway Management V2 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| AccessLogSettings |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/accesslogsettings
|
|
| Api |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}
|
apigateway:Request/ApiKeyRequired apigateway:Request/AuthorizerType apigateway:Request/AuthorizerUri apigateway:Request/DisableExecuteApiEndpoint apigateway:Request/EndpointType apigateway:Request/RouteAuthorizationType apigateway:Resource/ApiKeyRequired apigateway:Resource/AuthorizerType apigateway:Resource/AuthorizerUri apigateway:Resource/DisableExecuteApiEndpoint apigateway:Resource/EndpointType |
| Apis |
arn:${Partition}:apigateway:${Region}::/apis
|
apigateway:Request/ApiKeyRequired apigateway:Request/AuthorizerType apigateway:Request/AuthorizerUri apigateway:Request/DisableExecuteApiEndpoint apigateway:Request/EndpointType |
| ApiMapping |
arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings/${ApiMappingId}
|
|
| ApiMappings |
arn:${Partition}:apigateway:${Region}::/domainnames/${DomainName}/apimappings
|
|
| Authorizer |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers/${AuthorizerId}
|
apigateway:Request/AuthorizerType apigateway:Request/AuthorizerUri apigateway:Resource/AuthorizerType |
| Authorizers |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/authorizers
|
apigateway:Request/AuthorizerType |
| AuthorizersCache |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/cache/authorizers
|
|
| Cors |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/cors
|
|
| Deployment |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments/${DeploymentId}
|
|
| Deployments |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/deployments
|
|
| ExportedAPI |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/exports/${Specification}
|
|
| Integration |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}
|
|
| Integrations |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations
|
|
| IntegrationResponse |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses/${IntegrationResponseId}
|
|
| IntegrationResponses |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/integrations/${IntegrationId}/integrationresponses
|
|
| Model |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}
|
|
| Models |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models
|
|
| ModelTemplate |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/models/${ModelId}/template
|
|
| Route |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}
|
apigateway:Request/ApiKeyRequired apigateway:Request/RouteAuthorizationType apigateway:Resource/ApiKeyRequired |
| Routes |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes
|
apigateway:Request/ApiKeyRequired |
| RouteResponse |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses/${RouteResponseId}
|
|
| RouteResponses |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/routeresponses
|
|
| RouteRequestParameter |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/routes/${RouteId}/requestparameters/${RequestParameterKey}
|
|
| RouteSettings |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}/routesettings/${RouteKey}
|
|
| RoutingRule |
arn:${Partition}:apigateway:${Region}:${Account}:/domainnames/${DomainName}/routingrules/${RoutingRuleId}
|
|
| Stage |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages/${StageName}
|
apigateway:Request/AccessLoggingDestination apigateway:Request/AccessLoggingFormat apigateway:Resource/AccessLoggingDestination |
| Stages |
arn:${Partition}:apigateway:${Region}::/apis/${ApiId}/stages
|
apigateway:Request/AccessLoggingDestination |
| VpcLink |
arn:${Partition}:apigateway:${Region}::/vpclinks/${VpcLinkId}
|
|
| VpcLinks |
arn:${Partition}:apigateway:${Region}::/vpclinks
|
Amazon API Gateway Management V2 的條件索引鍵
Amazon API Gateway Management V2 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| apigateway:Request/AccessLoggingDestination | 依存取記錄目標篩選存取權。在 CreateStage 和 UpdateStage 操作期間可用 | 字串 |
| apigateway:Request/AccessLoggingFormat | 依存取記錄格式篩選存取權。在 CreateStage 和 UpdateStage 操作期間可用 | 字串 |
| apigateway:Request/ApiKeyRequired | 依 API 的要求篩選存取。在 CreateRoute 和 UpdateRoute 操作期間可用 在匯入和重新匯入期間也可用作集合 | ArrayOfBool |
| apigateway:Request/ApiName | 依 API 名稱篩選存取權。在 CreateApi 和 UpdateApi 操作期間可用 | 字串 |
| apigateway:Request/AuthorizerType | 依請求中的授權者類型篩選存取權,例如 REQUEST 或 JWT。在 CreateAuthorizer 和 UpdateAuthorizer 期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 | ArrayOfString |
| apigateway:Request/AuthorizerUri | 依 Lambda 授權者函數的 URI 篩選存取權。在 CreateAuthorizer 和 UpdateAuthorizer 期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 | ArrayOfString |
| apigateway:Request/ConditionBasePaths | 依路由規則條件所定義的基本路徑篩選存取權。在 CreateRoutingRule 和 UpdateRoutingRule 操作期間可用 | ArrayOfString |
| apigateway:Request/DisableExecuteApiEndpoint | 依預設執行 API 端點的狀態篩選存取權。在 CreateApi 和 UpdateApi 操作期間可用 | Bool |
| apigateway:Request/EndpointType | 依端點類型篩選存取權。在 CreateDomainName、UpdateDomainName、CreateApi 和 UpdateApi 操作期間可用 | ArrayOfString |
| apigateway:Request/MtlsTrustStoreUri | 依用於交互 TLS 身分驗證之信任庫 URI 篩選存取權。在 CreateDomainName 和 UpdateDomainName 操作期間可用 | 字串 |
| apigateway:Request/MtlsTrustStoreVersion | 依用於交互 TLS 身分驗證之信任庫版本篩選存取權。在 CreateDomainName 和 UpdateDomainName 操作期間可用 | 字串 |
| apigateway:Request/Priority | 依路由規則的優先順序篩選存取權。在 CreateRoutingRule 和 UpdateRoutingRule 操作期間可用 | 數值 |
| apigateway:Request/RouteAuthorizationType | 依授權類型篩選存取權,例如 NONE、AWS_IAM、CUSTOM、JWT。在 CreateRoute 和 UpdateRoute 操作期間可用 在匯入期間也可用作集合 | ArrayOfString |
| apigateway:Request/RoutingMode | 依網域名稱的路由模式篩選存取權。在 CreateDomainName 和 UpdateDomainName 操作期間可用 | 字串 |
| apigateway:Request/SecurityPolicy | 依 TLS 版本篩選存取權。在 CreateDomain 和 UpdateDomain 操作期間可用 | ArrayOfString |
| apigateway:Request/StageName | 依您嘗試建立之部署的階段名稱篩選存取權。在 CreateDeployment 操作期間可用 | 字串 |
| apigateway:Resource/AccessLoggingDestination | 依目前 Stage 資源的存取記錄目標篩選存取權。在 UpdateStage 和 DeleteStage 操作期間可用 | 字串 |
| apigateway:Resource/AccessLoggingFormat | 依目前 Stage 資源的存取記錄格式篩選存取權。在 UpdateStage 和 DeleteStage 操作期間可用 | 字串 |
| apigateway:Resource/ApiKeyRequired | 依現有 Route 資源的 API 金鑰要求篩選存取。在 UpdateRoute 和 DeleteRoute 操作期間可用 在重新匯入期間也可用作集合 | ArrayOfBool |
| apigateway:Resource/ApiName | 依 API 名稱篩選存取權。在 UpdateApi 和 DeleteApi 操作期間可用 | 字串 |
| apigateway:Resource/AuthorizerType | 依授權者的當前類型篩選存取權,例如 REQUEST 或 JWT。在 UpdateAuthorizer 和 DeleteAuthorizer 操作期間可用。在匯入和重新匯入期間也可以作為 ArrayOfString 使用 | ArrayOfString |
| apigateway:Resource/AuthorizerUri | 依與目前 API 關聯的目前 Lambda 授權者 URI 篩選存取權。在 UpdateAuthorizer 和 DeleteAuthorizer 期間可用。在重新匯入期間也可用作集合 | ArrayOfString |
| apigateway:Resource/ConditionBasePaths | 根據現有路由規則的條件定義的基礎路徑篩選存取權。在 UpdateRoutingRule 和 DeleteRoutingRule 操作期間可用 | ArrayOfString |
| apigateway:Resource/DisableExecuteApiEndpoint | 依預設執行 API 端點的狀態篩選存取權。在 UpdateApi 和 DeleteApi 操作期間可用 | Bool |
| apigateway:Resource/EndpointType | 依端點類型篩選存取權。在更新 UpdateDomainName、DeleteDomainName、UpdateApi 和 DeleteApi 操作期間可用 | ArrayOfString |
| apigateway:Resource/MtlsTrustStoreUri | 依用於交互 TLS 身分驗證之信任庫 URI 篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 | 字串 |
| apigateway:Resource/MtlsTrustStoreVersion | 依用於交互 TLS 身分驗證之信任庫版本篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 | 字串 |
| apigateway:Resource/Priority | 依現有路由規則的優先順序篩選存取權。在 UpdateRoutingRule 和 DeleteRoutingRule 操作期間可用 | 數值 |
| apigateway:Resource/RouteAuthorizationType | 依現有 Route 資源的授權類型篩選存取,例如 NONE、AWS_IAM、CUSTOM。在 UpdateRoute 和 DeleteRoute 操作期間可用 在重新匯入期間也可用作集合 | ArrayOfString |
| apigateway:Resource/RoutingMode | 依現有網域名稱的路由模式篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 | 字串 |
| apigateway:Resource/SecurityPolicy | 依 TLS 版本篩選存取權。在 UpdateDomainName 和 DeleteDomainName 操作期間可用 | ArrayOfString |
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |
